网络小说排行榜,完美世界有声小说,官场小说排行榜

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

干掉狀態(tài)：從session到token

1.美好的舊時(shí)光

10多年的瓦房店網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。成都全網(wǎng)營銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整瓦房店建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)公司從事“瓦房店網(wǎng)站設(shè)計(jì)”,“瓦房店網(wǎng)站推廣”以來，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

我經(jīng)常懷念三十年前那美好的舊時(shí)光，工作很輕松，生活很悠閑。

上班的時(shí)候偶爾有些HTTP的請(qǐng)求發(fā)到我這里，我簡單的看一下，取出相對(duì)應(yīng)的html文檔，圖片，發(fā)回去就可以了，然后就可以繼續(xù)喝茶聊天。

我的創(chuàng)造者們對(duì)我很好，他們制定的一個(gè)簡單HTTP協(xié)議，就是請(qǐng)求加響應(yīng)，尤其是我不用記住是誰剛剛發(fā)了HTTP請(qǐng)求，每個(gè)請(qǐng)求對(duì)我來說都是全新的!

郵件服務(wù)器很羨慕我，他說：老弟，你的生活太愜意了，哪像我，每次有人從客戶端訪問郵箱，我都得專門給他建立一個(gè)會(huì)話，來處理他發(fā)的消息，你倒好，完全不用管理會(huì)話。

這是由應(yīng)用的特性決定的，如果郵件服務(wù)器不管理會(huì)話，那多個(gè)人之間的郵件消息就會(huì)完全混到一起了，亂作一團(tuán)了。

而30年前的Web 基本上就是文檔的瀏覽而已，既然是瀏覽，我作為一個(gè)服務(wù)器，為什么要記住誰在一段時(shí)間里都瀏覽了什么文檔呢?

2.Session

但是好日子沒持續(xù)多久，很快大家就不滿足于靜態(tài)的Html 文檔了，交互式的Web應(yīng)用開始興起，尤其是論壇，在線購物等網(wǎng)站。

我馬上就遇到了和郵件服務(wù)器一樣的問題，那就是必須管理會(huì)話，必須記住哪些人登錄系統(tǒng)，哪些人往自己的購物車中放了商品，也就是說我必須把每個(gè)人區(qū)分開。

這對(duì)我來說是個(gè)不小的挑戰(zhàn)，由于HTTP協(xié)議的無狀態(tài)特性，我必須加點(diǎn)小手段，才能完成會(huì)話管理。

我想出的辦法就是給大家發(fā)一個(gè)會(huì)話標(biāo)識(shí)(session id), 說白了就是一個(gè)隨機(jī)的字符串，每個(gè)人收到的都不一樣，每次大家向我發(fā)起HTTP請(qǐng)求的時(shí)候，把這個(gè)字符串給一并捎過來，這樣我就能區(qū)分開誰是誰了。

3.沉重的負(fù)擔(dān)

大家都很高興，可是我就不爽了。

每個(gè)人只需要保存自己的session id，而我需要保存所有人的session id ! 如果訪問我的人多了，就得由成千上萬，甚至幾十萬個(gè)。

這對(duì)我來說是一個(gè)巨大的開銷，嚴(yán)重的限制了我的擴(kuò)展能力，比如說我用兩個(gè)機(jī)器組成了一個(gè)集群，小F通過機(jī)器A登錄了系統(tǒng)，那session id會(huì)保存在機(jī)器A上，假設(shè)小F的下一次請(qǐng)求被轉(zhuǎn)發(fā)到機(jī)器B怎么辦? 機(jī)器B可沒有小F的 session id啊。

有時(shí)候我會(huì)采用一點(diǎn)小伎倆： session sticky ，就是讓小F的請(qǐng)求一直粘連在機(jī)器A上，但是這也不管用，要是機(jī)器A掛掉了，還得轉(zhuǎn)到機(jī)器B去。

那我只好做session 的復(fù)制了，把session id 在兩個(gè)機(jī)器之間搬來搬去，快累死了。

后來有個(gè)叫Memcached的給我支了招：把session id 集中存儲(chǔ)到一個(gè)地方，所有的機(jī)器都來訪問這個(gè)地方的數(shù)據(jù)，這樣一來，就不用復(fù)制了，但是增加了單點(diǎn)失敗的可能性，要是那個(gè)負(fù)責(zé)session 的機(jī)器掛了，所有人都得重新登錄一遍，估計(jì)得被人罵死。

我也嘗試把這個(gè)單點(diǎn)的機(jī)器也搞出集群，增加可靠性，但不管如何，這小小的session 對(duì)我來說是一個(gè)沉重的負(fù)擔(dān)。

4.時(shí)間換空間

這幾天的晚上我一直在思考，我為什么要保存這可惡的session呢，只讓每個(gè)客戶端去保存該多好?

可是如果我不保存這些session id , 我怎么驗(yàn)證客戶端發(fā)給我的session id 的確是我生成的呢? 如果我不去驗(yàn)證，我都不知道他們是不是合法登錄的用戶，那些不懷好意的家伙們就可以偽造session id , 為所欲為了。

嗯，對(duì)了，關(guān)鍵點(diǎn)就是驗(yàn)證 !

比如說，小F已經(jīng)登錄了系統(tǒng)，我給他發(fā)一個(gè)令牌(token)，里邊包含了小F的 user id，下一次小F 再次通過Http 請(qǐng)求訪問我的時(shí)候，把這個(gè)token 通過Http header 帶過來不就可以了。

不過這和session id沒有本質(zhì)區(qū)別啊，任何人都可以可以偽造，所以我得想點(diǎn)兒辦法，讓別人偽造不了。

那就對(duì)數(shù)據(jù)做一個(gè)簽名吧，比如說我用HMAC-SHA256 算法，加上一個(gè)只有我才知道的密鑰，對(duì)數(shù)據(jù)做一個(gè)簽名，把這個(gè)簽名和數(shù)據(jù)一起作為token ，由于密鑰別人不知道，就無法偽造token了。

這個(gè)token 我不保存，當(dāng)小F把這個(gè)token 給我發(fā)過來的時(shí)候，我再用同樣的HMAC-SHA256 算法和同樣的密鑰，對(duì)數(shù)據(jù)再計(jì)算一次簽名，和token 中的簽名做個(gè)比較，如果相同，我就知道小F已經(jīng)登錄過了，并且可以直接取到小F的user id , 如果不相同，數(shù)據(jù)部分肯定被人篡改過，我就告訴發(fā)送者：對(duì)不起，沒有認(rèn)證。

Token 中的數(shù)據(jù)是明文保存的(雖然我會(huì)用Base64做下編碼，但那不是加密)，還是可以被別人看到的，所以我不能在其中保存像密碼這樣的敏感信息。

當(dāng)然，如果一個(gè)人的token 被別人偷走了，那我也沒辦法，我也會(huì)認(rèn)為小偷就是合法用戶，這其實(shí)和一個(gè)人的session id 被別人偷走是一樣的。

這樣一來，我就不保存session id 了，我只是生成token , 然后驗(yàn)證token ，我用我的CPU計(jì)算時(shí)間獲取了我的session 存儲(chǔ)空間 !

解除了session id這個(gè)負(fù)擔(dān)，可以說是無事一身輕，我的機(jī)器集群現(xiàn)在可以輕松地做水平擴(kuò)展，用戶訪問量增大，直接加機(jī)器就行。這種無狀態(tài)的感覺實(shí)在是太好了!

【本文為專欄作者“劉欣”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過作者微信公眾號(hào)coderising獲取授權(quán)】

戳這里，看該作者更多好文

文章題目：干掉狀態(tài)：從session到token
網(wǎng)站網(wǎng)址：http://m.fisionsoft.com.cn/article/ccdechi.html

新聞中心

其他資訊